一、工控系统已成为网络空间安全的重要战场

2010年，伊朗发生了震惊世人的“震网”（Stuxnet）事件，“震网”计算机病毒攻击了伊朗纳坦兹铀浓缩基地和布什尔核电站使用的西门子PCS7控制系统，破坏了大量铀浓缩离心机和布什尔核电站发电机组，导致伊朗核计划至少被延迟2年。

事件表明，网络空间的安全威胁已从传统的互联网、计算机等虚拟空间迅速延伸扩展至物理世界的工业控制系统。即“计算机病毒”可以在不破坏工控系统本身的情况下，通过操控工业控制系统，引发生产中断、管道泄漏、环境污染、装备损毁，甚至可以引发灾难事故，导致社会动荡，国家安全就会受到极大威胁。工控系统已成为网络空间安全越来越重要的新战场。人们为区别于传统虚拟空间的病毒，把“震网”称为“超级巡航导弹”、“软件原子弹”，等等。

自“震网”事件之后，针对工控系统攻击的这种“软件原子弹”威胁越来越多、离我们也越来越近，甚至原先我们认为物理隔离的工控系统也未能幸免：

(1）如2015年12月，被认为使用专网的乌克兰伊万诺-弗兰科夫斯克地区电力监控系统遭到“BlackEnergy”恶意代码的攻击。乌克兰新闻媒体TSN报道称：“至少有三个电力区域被攻击，导致了数小时的停电事故”；“攻击者入侵了监控管理系统，超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。”Kyivoblenergo 电力公司发布公告称：“公司因遭到入侵，导致7 个110KV 的变电站和23 个35KV 的变电站出现故障，导致80000 用户断电。”

(2）2017年6月12日，一款针对电力变电站系统进行恶意攻击的工控网络攻击武器Industroyer被发现对乌克兰电网发起了攻击。与 BlackEnergy不同的是，Industroyer据称没有利用任何漏洞，而是利用电力系统自身的工控协议，直接控制断路器，导致变电站断电。

(3）2017年12月，一种针对施耐德电气公司的Triconex安全仪表系统控制器（SIS，Safety Instrument System）的恶意软件TRITON被发现。TRITON据称能修改安全仪表系统（SIS）的表决机制，从而使安全保护功能失效。

此外，由于工控系统在操作人员的界面软件使用了微软操作系统，因此针对互联网、计算机操作系统攻击的病毒（如勒索病毒WannaCry）对工控系统也多多少少产生了一些影响。